漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_STA:MPL

北京時間2022年10月11日21:11:11，CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

①?攻擊者調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

智能合約漏洞賞金平臺Immunefi為88mph提供4.2萬美元賞金:智能合約漏洞賞金平臺Immunefi宣布接入DeFi固定利率生成協議88mph（MPH），經評估后為88mph提供42,069美元最高等級的漏洞獎金。[2021/2/2 18:42:26]

動態 | 比特幣核心的開發者發布客戶端漏洞“全披露”報告:據cointelegraph消息，比特幣核心的開發者于今日發布了一份關于比特幣客戶端漏洞的“全面披露”報告，再次呼吁所有節點優先升級到最新版本。[2018/9/21]

②攻擊者提取了StaxFrax/TempleLP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

360首席安全工程師回應：發現的僅僅是EOS網絡漏洞:今天，360公司發布EOS安全漏洞，360首席安全工程師鄭文彬回應，5月28日12點把漏洞提交給BM，BM凌晨完成了部分修復。目前這個漏洞僅僅是EOS網絡的漏洞，但這是在智能合約虛擬機中發現的新型安全漏洞，是前所未有的安全風險。[2018/5/29]

漏洞分析

導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：STASTAKAKIMPLLSTAR價格stak幣價格Yaki GoldSIMPLI價格

比特幣